Partager via


Attributs de profil utilisateur

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Votre profil utilisateur d’annuaire Azure Active Directory B2C (Azure AD B2C) est fourni avec un ensemble d’attributs intégrés, tels que le prénom, le nom de famille, la ville, le code postal et le numéro de téléphone. Vous pouvez étendre le profil utilisateur avec vos propres données d’application sans nécessiter de magasin de données externe.

L’API Microsoft Graph prend en charge la plupart des attributs que vous pouvez utiliser avec Azure Cet article décrit les attributs de profil utilisateur pris en charge par Azure AD B2C. Il note également ces attributs que Microsoft Graph ne prend pas en charge et les attributs de l’API Microsoft Graph qu’Azure AD B2C ne doivent pas utiliser.

Important

Vous ne devez pas utiliser d’attributs intégrés ou d’extension pour stocker des données personnelles sensibles, telles que les informations d’identification du compte, les numéros d’identification du gouvernement, les données de titulaires de carte, les données de compte financier, les informations de santé ou les informations d’arrière-plan sensibles.

Vous pouvez également intégrer des systèmes externes. Par exemple, vous pouvez utiliser Azure AD B2C pour l’authentification, mais déléguer à une base de données de gestion de la relation client externe (CRM) ou de fidélité client comme source faisant autorité des données client. Pour plus d’informations, consultez la solution de profil distant .

Type de ressource utilisateur Microsoft Entra

Le profil utilisateur d’annuaire Azure AD B2C prend en charge les attributs de type de ressource utilisateur répertoriés dans le tableau ci-dessous. Il fournit les informations suivantes sur chaque attribut :

  • Nom d’attribut utilisé par Azure AD B2C (suivi du nom Microsoft Graph entre parenthèses, le cas échéant)
  • Type de données d’attribut
  • Description de l’attribut
  • Indique si l’attribut est disponible dans le portail Azure
  • Indique si l’attribut peut être utilisé dans un flux utilisateur
  • L'attribut peut-il être utilisé dans un profil technique Microsoft Entra ID pour une stratégie personnalisée et dans quelle section (<InputClaims>, <OutputClaims> ou <PersistedClaims>) ?
Nom Type de données Descriptif Disponible dans le portail Azure Utilisé dans les flux utilisateur Servant dans une stratégie personnalisée
accountEnabled Booléen Indique si le compte d’utilisateur est activé ou désactivé : true si le compte est activé, sinon false. Oui Non Persistant, Sortie
tranche d'âge Chaîne Groupe d’âge de l’utilisateur. Valeurs possibles : null, Indéfini, Mineur, Adulte, Non adulte. Oui Non Persistant, Sortie
alternativeSecurityId (Identités) Chaîne Identité d’utilisateur unique du fournisseur d’identité externe. Non Non Entrée, Persistant, Sortie
alternativeSecurityIds (Identités) collection alternative d'identifiants de sécurité Collection d’identités utilisateur provenant de fournisseurs d’identité externes. Non Non Persistant, Sortie
ville Chaîne La ville de résidence de l’utilisateur.. Longueur maximale 128. Oui Oui Persistant, Sortie
consentementFourniPourMineur Chaîne Indique si le consentement a été fourni pour un mineur. Valeurs autorisées : null, accordé, refusé ou nonRequis. Oui Non Persistant, Sortie
pays Chaîne Pays/région de résidence de l’utilisateur.. Par exemple : États-Unis ou Royaume-Uni. Longueur maximale 128. Oui Oui Persistant, Sortie
createdDateTime Date et heure Date de création de l’objet utilisateur. Lecture seule. Non Non Persistant, Sortie
type de création Chaîne Si le compte d’utilisateur a été créé en tant que compte local pour un locataire Azure Active Directory B2C, la valeur est LocalAccount ou nameCoexistence. Lecture seule. Non Non Persistant, Sortie
dateDeNaissance Date (Jour/Mois/Année) Date de naissance. Non Non Persistant, Sortie
département Chaîne Nom du service dans lequel l’utilisateur fonctionne. Longueur maximale 64. Oui Non Persistant, Sortie
nom d’affichage Chaîne Nom d’affichage de l’utilisateur. Longueur maximale 256. Oui Oui Persistant, Sortie
fac-similéTéléphoneNuméro1 Chaîne Numéro de téléphone de l’ordinateur de télécopie professionnel de l’utilisateur. Oui Non Persistant, Sortie
givenName Chaîne Nom donné (prénom) de l’utilisateur. Longueur maximale 64. Oui Oui Persistant, Sortie
Intitulé du poste Chaîne Intitulé du poste de l’utilisateur. Longueur maximale 128. Oui Oui Persistant, Sortie
ImmutableID Chaîne Identificateur généralement utilisé pour les utilisateurs migrés à partir d’Active Directory local. Non Non Persistant, Sortie
legalAgeGroupClassification Chaîne Classification du groupe d’âge légal. En lecture seule et calculé en fonction des propriétés ageGroup et consentProvidedForMinor. Valeurs autorisées : null, mineurSansConsentementParental, mineurAvecConsentementParental, mineurPasDeConsentementParentalRequis, pasAdulte et adulte. Oui Non Persistant, Sortie
JuridiquePays1 Chaîne Pays/Région à des fins légales. Non Non Persistant, Sortie
mailNickName Chaîne Alias de messagerie pour l’utilisateur. Longueur maximale 64. Non Non Persistant, Sortie
mobile (téléphone mobile) Chaîne Numéro de téléphone cellulaire principal pour l’utilisateur. Longueur maximale 64. Oui Non Persistant, Sortie
netId Chaîne ID réseau. Non Non Persistant, Sortie
objectId Chaîne Identificateur global unique (GUID) qui est l’identificateur unique de l’utilisateur. Exemple : 12345678-9abc-def0-1234-56789abcde. Lecture seule, Non modifiable. Lecture seule Oui Entrée, Persistant, Sortie
autresCourriels Collection de chaînes Liste d’autres adresses e-mail pour l’utilisateur. Exemple : [" »bob@contoso.com, « Robert@fabrikam.com"]. REMARQUE : Les caractères d’accentuation ne sont pas autorisés. Oui (autre e-mail) Non Persistant, Sortie
mot de passe Chaîne Mot de passe du compte local lors de la création de l’utilisateur. Non Non Persistant
politiques de mot de passe Chaîne Stratégie du mot de passe. Il s’agit d’une chaîne composée de différents noms de stratégie séparés par des virgules. Par exemple, « DisablePasswordExpiration, DisableStrongPassword ». Non Non Persistant, Sortie
Nom du bureau de livraison physique (Emplacement du bureau) Chaîne Emplacement du bureau dans le lieu d’affaires de l’utilisateur. Longueur maximale 128. Oui Non Persistant, Sortie
postalCode Chaîne Code postal de l’adresse postale de l’utilisateur. Le code postal est spécifique au pays/à la région de l’utilisateur. Aux États-Unis d’Amérique, cet attribut contient le code postal. Longueur maximale 40. Oui Non Persistant, Sortie
languePréférée Chaîne Langue préférée de l’utilisateur. Le format de langage préféré est basé sur RFC 4646. Le nom est une combinaison d’un code de culture en minuscules à deux lettres ISO 639 associé à la langue et d’un code de sous-culture ISO 3166 à deux lettres majuscules associé au pays ou à la région. Par exemple : en-USou es-ES. Non Non Persistant, Sortie
refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) Date et heure Tous les jetons d’actualisation émis avant cette date ne sont pas valides et les applications obtiennent une erreur lors de l’utilisation d’un jeton d’actualisation non valide pour acquérir un nouveau jeton d’accès. Dans ce cas, l’application doit acquérir un nouveau jeton d’actualisation en effectuant une demande au point de terminaison autorisé. Lecture seule. Non Non Sortie
signInNames (Identités) Chaîne Nom de connexion unique de l’utilisateur de compte local de n’importe quel type dans le répertoire. Utilisez cet attribut pour obtenir un utilisateur avec une valeur de connexion sans spécifier le type de compte local. Non Non Entrée
signInNames.userName (Identités) Chaîne Nom d’utilisateur unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec un nom d’utilisateur de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. REMARQUE : Les caractères d’accentuation ne sont pas autorisés dans le nom d’utilisateur. Non Non Entrée, Persistant, Sortie
signInNames.phoneNumber (Identités) Chaîne Numéro de téléphone unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec un numéro de téléphone de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. Non Non Entrée, Persistant, Sortie
signInNames.emailAddress (Identités) Chaîne Adresse e-mail unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec une adresse e-mail de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. Non Non Entrée, Persistant, Sortie
état Chaîne État ou province dans l’adresse de l’utilisateur. Longueur maximale 128. Oui Oui Persistant, Sortie
rueAdresse Chaîne Adresse postale du lieu d’affaires de l’utilisateur. Longueur maximale 1024. Oui Oui Persistant, Sortie
strongAuthentication AlternativeNuméro de téléphone1 Chaîne Numéro de téléphone secondaire de l’utilisateur, utilisé pour l’authentification multifacteur. Oui Non Persistant, Sortie
strongAuthenticationEmailAddress1 Chaîne Adresse SMTP de l’utilisateur. Exemple : «bob@contoso.com » Cet attribut est utilisé pour la connexion avec la stratégie de nom d’utilisateur, pour stocker l’adresse e-mail de l’utilisateur. Adresse e-mail utilisée dans un flux de réinitialisation de mot de passe. Les caractères d’accentuation ne sont pas autorisés dans cet attribut. Oui Non Persistant, Sortie
strongAuthenticationPhoneNumber2 Chaîne Numéro de téléphone principal de l’utilisateur, utilisé pour l’authentification multifacteur. Oui Non Persistant, Sortie
nom de famille Chaîne Nom de l’utilisateur (nom de famille ou nom). Longueur maximale 64. Oui Oui Persistant, Sortie
numéro de téléphone (première entrée de téléphones professionnels) Chaîne Numéro de téléphone principal de la place d’entreprise de l’utilisateur. Oui Non Persistant, Sortie
Nom d'utilisateur principal Chaîne Nom d’utilisateur principal (UPN) de l’utilisateur. L’UPN est un nom de connexion de style Internet pour l’utilisateur basé sur la norme Internet RFC 822. Le domaine doit être présent dans la collection de domaines vérifiés du locataire. Cette propriété est requise lorsqu’un compte est créé. Non modifiable. Non Non Entrée, Persistant, Sortie
usageLocation Chaîne Requis pour les utilisateurs auxquels des licences sont attribuées en raison d’une exigence légale pour vérifier la disponibilité des services dans les pays/régions. Ne peut pas accepter la valeur Null. Code pays/région à deux lettres (norme ISO 3166). Pour obtenir des exemples, US, JP et GB. Oui Non Persistant, Sortie
type d'utilisateur Chaîne Valeur de chaîne qui peut être utilisée pour classifier les types d’utilisateurs dans votre répertoire. La valeur doit être Member. Lecture seule. Lecture seule Non Persistant, Sortie
userState (externalUserState)3 Chaîne Pour le compte Microsoft Entra B2B uniquement, et indique si l'invitation est en attente d'acceptation ou acceptée. Non Non Persistant, Sortie
userStateChangedOn (externeUserStateChangeDateTime)3 Date et heure Affiche l’horodatage pour la dernière modification apportée à la propriété UserState. Non Non Persistant, Sortie

1 Non pris en charge par Microsoft Graph
2 Pour plus d’informations, consultez l’attribut numéro de téléphone MFA
3 Ne doit pas être utilisé avec Azure AD B2C

Attributs requis

Pour créer un compte d’utilisateur dans le répertoire Azure AD B2C, fournissez les attributs requis suivants :

Attribut de nom d’affichage

displayName est le nom à afficher dans la gestion des utilisateurs du portail Azure pour l’utilisateur et dans le jeton d’accès qu’Azure AD B2C retourne à l’application. Cette propriété est requise.

Attribut Identities

Un compte client, qui peut être un consommateur, un partenaire ou un citoyen, peut être associé à ces types d’identité :

  • Identité locale : le nom d’utilisateur et le mot de passe sont stockés localement dans le répertoire Azure AD B2C. Nous faisons souvent référence à ces identités en tant que « comptes locaux ».
  • Identité fédérée : également appelée comptes sociaux ou d’entreprise , l’identité de l’utilisateur est gérée par un fournisseur d’identité fédéré comme Facebook, Microsoft, ADFS ou Salesforce.

Un utilisateur disposant d’un compte client peut se connecter avec plusieurs identités. Par exemple, nom d’utilisateur, e-mail, ID d’employé, ID du gouvernement et autres. Un seul compte peut avoir plusieurs identités, à la fois locales et sociales, avec le même mot de passe.

Dans l’API Microsoft Graph, les identités locales et fédérées sont stockées dans l’attribut utilisateur identities , qui est de type objectIdentity. La identities collection représente un ensemble d’identités utilisées pour se connecter à un compte d’utilisateur. Cette collection permet à l’utilisateur de se connecter au compte d’utilisateur avec l’une de ses identités associées. L’attribut identités peut contenir jusqu’à 10 objets objectIdentity . Chaque objet contient les propriétés suivantes :

Nom Catégorie Descriptif
signInType ficelle Spécifie les types de connexion utilisateur dans votre répertoire. Pour le compte local : emailAddress, emailAddress1, emailAddress2, emailAddress3, userName ou tout autre type de votre choix. Le compte social doit être défini sur federated.
émetteur ficelle Spécifie l’émetteur de l’identité. Pour les comptes locaux (où signInType n’est pas federated), cette propriété est le nom de domaine par défaut du locataire B2C local, par exemple contoso.onmicrosoft.com. Pour l’identité sociale (où signInType est federated) la valeur est le nom de l’émetteur, par exemple facebook.com
issuerAssignedId ficelle Spécifie l’identificateur unique attribué à l’utilisateur par l’émetteur. La combinaison de issuer et issuerAssignedId doit être unique au sein de votre locataire. Pour le compte local, lorsque signInType est défini sur emailAddress ou userName, il représente le nom de connexion de l'utilisateur.
Lorsque signInType est défini sur :
  • emailAddress (ou commence par emailAddress like emailAddress1) issuerAssignedId doit être une adresse e-mail valide
  • userName (ou toute autre valeur), issuerAssignedId doit être une partie locale valide d’une adresse e-mail
  • federated, issuerAssignedId représente l’identificateur unique de compte fédéré

L’extrait de code JSON suivant montre l’attribut Identités , avec une identité de compte local avec un nom de connexion, une adresse e-mail comme connexion et une identité sociale.

"identities": [
  {
    "signInType": "userName",
    "issuer": "contoso.onmicrosoft.com",
    "issuerAssignedId": "johnsmith"
  },
  {
    "signInType": "emailAddress",
    "issuer": "contoso.onmicrosoft.com",
    "issuerAssignedId": "jsmith@yahoo.com"
  },
  {
    "signInType": "federated",
    "issuer": "facebook.com",
    "issuerAssignedId": "5eecb0cd"
  }
]

Pour les identités fédérées, selon le fournisseur d’identité, l’issuerAssignedId est une valeur unique pour un utilisateur donné par application ou compte de développement. Configurez la stratégie Azure AD B2C avec le même ID d’application qu’attribue le fournisseur social ou qu’une autre application attribue au sein du même compte de développement.

Propriété de profil de mot de passe

Pour une identité locale, l’attribut passwordProfile est requis et contient le mot de passe de l’utilisateur. L’attribut forceChangePasswordNextSignIn indique si un utilisateur doit réinitialiser le mot de passe lors de la connexion suivante. Pour gérer une réinitialisation de mot de passe forcée, utilisez les instructions de configuration du flux de réinitialisation de mot de passe forcé.

Pour une identité fédérée (sociale), l’attribut passwordProfile n’est pas obligatoire.

"passwordProfile" : {
    "password": "password-value",
    "forceChangePasswordNextSignIn": false
  }

Attribut de stratégie de mot de passe

La stratégie de mot de passe Azure AD B2C (pour les comptes locaux) est basée sur la stratégie de force de mot de passe forte microsoft Entra ID. Les stratégies d’inscription ou de réinitialisation de mot de passe Azure AD B2C nécessitent cette force de mot de passe forte et n’expirent pas.

Dans les scénarios de migration utilisateur, si les comptes que vous souhaitez migrer ont une force de mot de passe plus faible que la force de mot de passe forte appliquée par Azure AD B2C, vous pouvez désactiver l’exigence de mot de passe fort. Pour modifier la stratégie de mot de passe par défaut, définissez l’attribut passwordPolicies sur DisableStrongPassword. Par exemple, vous pouvez modifier la demande d’utilisateur créée comme suit :

"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"

Attribut de numéro de téléphone authentification multifacteur

Lorsque vous utilisez un téléphone pour l’authentification multifacteur (MFA), le téléphone mobile est utilisé pour vérifier l’identité de l’utilisateur. Pour ajouter un nouveau numéro de téléphone par programmation, mettre à jour, obtenir ou supprimer le numéro de téléphone, utilisez la méthode d’authentification par téléphone de l’API MS Graph.

Dans les stratégies personnalisées d'Azure AD B2C, le numéro de téléphone est disponible via le strongAuthenticationPhoneNumber type de réclamation.

Attributs d’extension

Chaque application orientée client a des exigences uniques pour que les informations soient collectées. Votre tenant Azure AD B2C est fourni avec un ensemble intégré d'informations stockées dans des propriétés, telles que le prénom, le nom de famille et le code postal. Avec Azure AD B2C, vous pouvez étendre l’ensemble des propriétés stockées dans chaque compte client. Pour plus d’informations, consultez Ajouter des attributs utilisateur et personnaliser l’entrée utilisateur dans Azure Active Directory B2C

Les attributs d’extension étendent le schéma des objets utilisateur dans le répertoire. Les attributs d’extension ne peuvent être inscrits que sur un objet d’application, même s’ils peuvent contenir des données pour un utilisateur. L’attribut d’extension est attaché à l’application appelée b2c-extensions-app. Ne modifiez pas cette application, car elle est utilisée par Azure AD B2C pour stocker les données utilisateur. Vous trouverez cette application sous Inscriptions d’applications Microsoft Entra. En savoir plus sur Azure AD B2Cb2c-extensions-app.

Remarque

  • Vous pouvez écrire jusqu’à 100 attributs d’extension dans n’importe quel compte d’utilisateur.
  • Si l’application b2c-extensions-app est supprimée, ces attributs d’extension sont supprimés de tous les utilisateurs, ainsi que les données qu’ils contiennent.
  • Si un attribut d’extension est supprimé par l’application, il est supprimé de tous les comptes d’utilisateur et les valeurs sont supprimées.

Les attributs d’extension dans l’API Microsoft Graph sont nommés à l’aide de la convention extension_ApplicationClientID_AttributeName, où :

L’ID d’application (client) lorsqu’il est utilisé pour créer le nom de l’attribut d’extension n’inclut pas de traits d’union. Par exemple:

"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"

Les types de données suivants sont pris en charge lors de la définition d’un attribut dans une extension de schéma :

Catégorie Remarques
Booléen Valeurs possibles : true ou false.
Date et heure À indiquer au format ISO 8601. La valeur est stockée au format UTC.
Nombre entier Valeur 32 bits.
Chaîne 256 caractères maximum.

En savoir plus sur les attributs d’extension :